Всемирный технический сбой начался с неисправного обновления Crowdstrike для Microsoft Windows.
Проблема с популярным программным обеспечением безопасности Crowdstrike привела к сбоям в работе крупных технологических систем по всему миру, включая авиакомпании, транспортные системы и фондовые биржи. Этот масштабный сбой затронул предприятия по всему миру, вызвав остановку полетов самолетов и повлияв на работу банков и сектора здравоохранения.
Джордж Курц, генеральный директор Crowdstrike, заявил, что проблема связана с «дефектом в одном из обновлений контента» программного обеспечения безопасности, которое компания предоставляет для Microsoft Windows.
В Microsoft сообщили, что проблема была вызвана «обновлением сторонней программной платформы» и что «основная причина» теперь устранена.
The Conversation обсудил произошедшее с профессором Аланом Вудвордом, экспертом по кибербезопасности из Университета Суррея, чтобы выяснить, что пошло не так и как можно решить проблему.
МОЖЕТЕ ЛИ ВЫ ОБЪЯСНИТЬ, ЧТО ПРОИЗОШЛО?
Существует две проблемы. Во-первых, у Microsoft, похоже, возникли проблемы с платформой облачных вычислений Azure. С вечера 18 июля наблюдалась некоторая деградация этой службы, хотя она не вышла из строя полностью.
Однако большая проблема возникла из-за обновления, выпущенного поздним вечером 18 июля для продукта Falcon от Crowdstrike, предназначенного для проверки компьютерных угроз. Falcon использует «агентское» программное обеспечение, глубоко встроенное в операционную систему каждого ПК, которое отслеживает компьютер и сообщает о проблемах, а также получает обновления о новых угрозах. Это программное обеспечение широко используется крупными организациями по всему миру.
Crowdstrike срочно расследует произошедшее. По последней информации, файл системы обновления был выпущен в неправильном формате. Операционная система Windows не может обработать это обновление, что вызывает сбой системы и появление «синего экрана смерти» — экрана с сообщением об ошибке.
Большая проблема в том, что эту проблему нельзя решить удаленно. Необходимо зайти в каждую машину по отдельности и перевести её в «безопасный» или «восстановительный» режим, чтобы изолировать программное обеспечение. После этого можно перезагрузить машину и снова запустить её. Для крупных глобальных компаний с распределенной ИТ-инфраструктурой это займет много времени.
ПОЧЕМУ ЭТОТ СБОЙ ИМЕЛ ТАКИЕ МАСШТАБНЫЕ ПОСЛЕДСТВИЯ?
Crowdstrike добился большого успеха — его программное обеспечение безопасности используют сотни тысяч крупных клиентов по всему миру. Авиакомпании, аэропорты, железные дороги, больницы, фондовые биржи — все они пострадали.
Это началось в Австралии, когда они в пятницу вышли на работу. Обновление было выпущено вечером по британскому времени и разнеслось по всему миру.
При преднамеренных атаках с использованием программ-вымогателей обычно поражают одну или две цели за раз. Но в этом случае пострадали тысячи организаций одновременно. Ничего подобного раньше не происходило.
Пока неясно, как Crowdstrike исправит программное обеспечение. Понятно, как компании могут обойти эту проблему, но для крупных организаций это может затронуть их критическую инфраструктуру и бизнес надолго — потребуется несколько дней, чтобы физически обойти все машины.
МОГУТ ЛИ ОХРАННЫЕ КОМПАНИИ ГАРАНТИРОВАТЬ, ЧТО ПОДОБНОЕ НЕ ПОВТОРИТСЯ?
Программное обеспечение безопасности тесно переплетено с операционной системой компьютера. Должен быть способ, чтобы поврежденное обновление не продолжало рушить систему — возможно, в сотрудничестве с Microsoft, которая владеет операционной системой Windows.
Необходимо разработать способ выхода из этого состояния. Однако большинство пользователей не знают, как перевести свои ПК в безопасный режим и вернуться к предыдущему состоянию.
Сейчас кажется, что один поврежденный файл создает глобальную проблему. Компьютеры постоянно загружают обновления, и как Microsoft предотвращает это, пока неясно. Вопрос на миллион долларов: как этот поврежденный файл вообще оказался в открытом доступе?
